Googleは、既に悪用されている深刻なChromeの脆弱性に対する緊急パッチをリリースしました。そのため、Webブラウザを最新バージョンにアップデートしていることを確認してください。
CVE-2025-10585として追跡されているこの脆弱性は、V8 JavaScriptおよびWebAssemblyエンジンにおける型混乱の脆弱性です。この種の脆弱性は、エンジンがメモリブロックを実際には別の種類のオブジェクトであるにもかかわらず、ある種類のオブジェクトとして誤って解釈することで発生し、システムクラッシュ、任意のコード実行、そして他のバグと連鎖すると、悪意のあるHTMLページを介してシステム全体が侵害される可能性があります。
「GoogleはCVE-2025-10585の脆弱性が実際に存在することを認識している」とチョコレートファクトリーは警告した。
Google 脅威分析グループ (TAG) がこの脆弱性を発見して報告しましたが、Google のセキュリティホールではよくあることですが、誰がこの脆弱性を悪用しているのか、また不正アクセスで何を行っているのかに関する追加情報は提供されていません。
しかし、TAG が追跡している犯罪集団 (国家スパイや商用スパイウェアベンダーなど) を考慮すると、この CVE は機密情報を盗み、価値の高いターゲットをスヌーピングするためのゼロデイとして悪用された可能性が高いです。
この脆弱性と、水曜日に公開され修正された他の 3 つの重大度の高い Chrome の問題から保護するには、Windows および Apple macOS の場合はブラウザをバージョン 140.0.7339.185/.186 に、Linux の場合は 140.0.7339.185 に更新してください。
Chromeブラウザは自動更新されますが、すぐに更新されない場合があり、更新されたらアプリの再起動が必要になります。強制的に即時更新するには、chrome://settings/helpアドレスバーに「」と入力してください。最新バージョンでない場合は、ブラウザがダウンロードし、再起動するように指示されます。
Chromeバージョンページ
これは今年ゼロデイとして悪用された6番目のChromeバグであり、その後すべて修正されました。
- GoogleはChromeの0デイ脆弱性に対する緊急修正をひっそりとリリース、エクスプロイトが猛威を振るう
- Chromeがロシア人を狙ったゼロデイ攻撃を修正した後、Firefoxも同様のバグを発見
- 企業向け技術のゼロデイ攻撃を悪用する犯罪者が増加しているとGoogleが警告
- 犯罪者がSonicWallを突破し機密設定データを入手
他の 5 つには、ロシアの特定の人々をターゲットにするためにスヌープによって使用されていると思われるサンドボックス破壊バグである CVE-2025-2783 と、リモートの攻撃者が Chrome の Loader のセキュリティ ポリシーを回避して、不正なコード実行やサンドボックスからの脱出を可能にする CVE-2025-4664 が含まれます。
また、CVE-2025-5419は、V8 JavaScriptエンジンにおける境界外の読み取りおよび書き込みの脆弱性で、リモート攻撃者がメモリを破壊し、実行を乗っ取る可能性があります。攻撃者はこの脆弱性を悪用することで、機密データを漏洩させたり、任意のコードを実行してユーザーのマシンをクラッシュさせたりする可能性があります。
別の V8 の脆弱性 CVE-2025-6554 により、リモートの攻撃者が特別に細工した HTML ページを介して任意の読み取り/書き込みを実行することもできるようになりました。
最後に、CVE-2025-6558 では、ANGLE および GPU における信頼できない入力の検証が不十分なため、リモートの攻撃者が HTML ページを使用してサンドボックスを回避できる可能性があります。®
